前篇已经学过“华为 | 设备用户、权限的精细管理——Router、AC提权”的相关内容，今天继续学习“华为 | 设备用户、权限的精细管理——Switch、Fw提权”的内容，大致内容还是差不多的，先来回顾基础知识。

华为设备系统命令采用分级保护方式，命令从低到高划分为16个级别。

缺省情况下，命令按如下0～3级进行注册：

0级，参观级：网络诊断工具命令（ping、tracert）、从本设备出发访问外部设备的命令（Telnet客户端）等。

1级，监控级：用于系统维护，包括display等命令。

2级，配置级：业务配置命令，包括路由、各个网络层次的命令，向用户提供直接网络服务。

3级，管理级：用于系统基本运行的命令，对业务提供支撑作用，包括文件系统、FTP、TFTP、Xmodem下载、配置文件切换命令、备板控制命令、用户管理命令、命令级别设置命令、系统内部参数设置命令；用于业务故障诊断的debugging命令等。

从如下可以得出，基本0~3级，这4个级别的权限，在实际使用中完全够用了，然后在实际使用中还是会有各种需求的，比如：

①多个人使用同一台设备，权限可能导致的一些问题；

②能否让每个人所对应的权限，而有所不同，但是也拥有操作大部分命令的权限呢？

这个时候，如果用户需要实现权限的精细管理，可以将命令级别提升到0～15级。

1.添加用户fishyoung1和fishyoung2，命令级别分别为3和15。[hide]

<Switch>sys
[Switch]aaa
[Switch-aaa]local-user fishyoung1 password cipher Admin@huawei
[Switch-aaa]local-user fishyoung1 privilege level 3
[Switch-aaa]local-user fishyoung1 service-type telnet terminal
[Switch-aaa]local-user fishyoung2 password cipher Admin@huawei
[Switch-aaa]local-user fishyoung2 privilege level 15
[Switch-aaa]local-user fishyoung2 service-type telnet terminal
[Switch-aaa]

2.用fishyoung1和fishyoung2登陆设备，发现大部分的操作是一样的。

[Switch-aaa]user-interface con 0
[Switch-ui-console0]authentication-mode aaa
[Switch-ui-console0]quit
[Switch]quit
<Switch>quit

从上图可以发现，两个账号都可以进行save命令的操作，但是我现在就想实现fishyoung1账户不能save保存，fishyoung2账户可以save保存，此时就要实现权限的精细管理。

3.关键代码部分

<Switch>sys
[Switch]command-privilege level 15 view shell save
[Switch]quit
<Switch>save
    The current configuration will be written to the device.
    Are you sure to continue?[Y/N]n
<Switch>
    Jul 31 2018 14:04:26-08:00 Switch %%01CFM/4/SAVE(l)[1]:The user chose N when dec iding whether to save the configuration to the device.
<Switch>

上面的代码，让15级别的用户提权拥有save的命令，而其他级别的账户将不拥有save命令的权限。如图所示

[/hide]

总结：抛砖引玉的就举例这一个命令区别，其中可以自己根据实际应用场景，设置多个不同权限需求的账号，达到想要的效果，这次所讲的是华为交换机，对于华为防火墙设备也有雷同之处，不过在用户管理方面有一点点的不同。